registri ipvanish


Il popolare servizio VPN "no log" IPVanish sembra essere coinvolto in uno scandalo di registrazione in base al quale registri utenti erano fornito alle autorità che stavano indagando su un procedimento penale. Mentre nessuno qui sta difendendo le azioni dei criminali, è importante riconoscere quando un servizio VPN non riesce a rispettare la loro politica di "zero log" e l'impegno per la privacy dei clienti.

Questo è un altro caso in cui le affermazioni di "nessun registro" di un servizio VPN non hanno resistito alle azioni di contrasto. IPVanish ora si unisce a artisti del calibro di PureVPN, HideMyAss e EarthVPN, che hanno fornito tutti i log alle autorità in vari casi criminali - vedi VPN stanno mentendo sui log per una discussione di questi casi.

I fatti del caso di registrazione IPVanish

Prima di saltare ai fatti del caso, è importante notare che:

  • IPVanish è a Servizio VPN con sede negli Stati Uniti (Five Eyes)
  • Autorità statunitensi (Dipartimento di sicurezza nazionale) stavano prendendo di mira a Residente negli Stati Uniti (stato dell'Indiana)
  • IPVanish ha affermato di avere un "politica rigorosa di zero log"Per molti anni (esempio qui)

Questo caso specifico riguardava l'abuso di minori e la pornografia con agenti del Dipartimento della sicurezza nazionale degli Stati Uniti che indagavano su un utente IPVanish nel 2016.

La dichiarazione giurata completa comprende descrizioni grafiche del materiale inviato da "utente sospetto" all'agente DHS. Puoi trovare l'affidavit criminale qui (anche archiviato qui). Tuttavia, includeremo solo le sezioni pertinenti di seguito relative a IPVanish e alle sue pratiche di registrazione.

Da pagina 23 (22 di 28) della dichiarazione giurata:

i registri ipvanish criminali

Come puoi vedere sopra, il Dipartimento di sicurezza nazionale ha pubblicato un "convocazione per record" per Gruppo di reti di Highwinds - il società madre di IPVanish. Secondo questi registri, le autorità non hanno utilizzato un mandato di comparizione, un mandato di perquisizione o una "lettera di sicurezza nazionale" con ordine di accompagnamento. Questa era solo una richiesta di informazioni per l'utente.

Circa due settimane dopo, il 26 maggio 2016, IPVanish ha risposto alla convocazione affermando essenzialmente che non disponevano di dati utente perché "non registrano alcuna informazione di utilizzo".

Tuttavia, dopo che l'investigatore ha dato seguito alla richiesta, Highwinds Network Group (IPVanish) ha detto alle autorità di "inviare una seconda convocazione richiedendo informazioni sull'abbonato di natura più dettagliata.

Il 9 giugno 2016 l'investigatore ha fornito un'altra richiesta a IPVanish per "tutti i dati associati al traffico IRC utilizzando IP 209.197.26.72, porta 6667". Dodici giorni dopo, IPVanish ha fornito i seguenti registri di dati sull'utente sospetto alle autorità DHS:

caso di registrazione ipvanish

Secondo l'affidavit, IPVanish ha anche fornito alle autorità DHS i seguenti dati utente:

  • indirizzo IP di origine dell'utente sospetto (50.178.206.161)
  • date e orari che l'utente sospetto si è connesso e disconnesso dalla rete IRC

Il secondo punto è significativo per questo caso perché dimostra che IPVanish sta (o stava) mantenendo registri dettagliati dell'attività dell'utente, che contraddice chiaramente la "politica zero log" che dichiarano di avere.

Dopo aver ottenuto i registri di connessione e utilizzo dalla società madre Highwinds Network Group di IPVanish, le autorità DHS sono state in grado di identificare facilmente l'utente tramite il suo indirizzo IP Comcast e la sua posizione a Muncie, Indiana. Comcast ha quindi fornito ulteriori informazioni sull'utente sospetto alle autorità, che hanno poi prestato mandato di ricerca federale su Vincent Gevirtz e la sua residenza a Muncie, Indiana.

Criterio di registrazione IPVanish

IPVanish ha una lunga storia di affermazione di essere un provider VPN "zero log".

Utilizzando la WayBack Machine possiamo vedere l'informativa sulla privacy di IPVanish sia prima dell'incidente (aprile 2016) che subito dopo l'incidente (agosto 2016). Durante questo incidente e in entrambe le politiche sulla privacy puoi vedere che IPVanish stava facendo la seguente richiesta:

"IPVanish non raccoglie né registra alcun traffico o utilizzo del suo servizio di rete privata virtuale."

Puoi persino vedere sulla loro homepage da giugno 2016 - esattamente quando questo caso si stava svolgendo - che IPVanish sosteneva di avere una "rigorosa politica a zero registri":

ipvanish registra il data case del clienteUn estratto dalla home page di IPVanish nel giugno 2016.

È anche interessante notare che IPVanish oggi utilizza la stessa formulazione "rigorosa politica zero log" sulla propria homepage.

Il CEO di IPVanish risponde su reddit

Dopo questo caso è arrivato a r / piracy subreddit, un utente di nome "lavosby"- affermando di essere il CEO di IPVanish - ha dato la seguente risposta:

ipvanish ceo risposta alla registrazione

Più tardi nella stessa discussione, l'utente "lavosby" ha spiegato che IPVanish lo era acquisita il 2 febbraio 2017 da Stackpath. In effetti, ho trovato questo post sul blog che verifica come Highwinds è stata acquisita da Stackpath nel 2017. Ora sembra che sia Highwinds sia IPVanish operino sotto Stackpath.

Nello spiegare questi eventi di registrazione, lavosby ha dichiarato:

"Possiamo solo supporre, questo era un ordine diretto una volta dalle autorità".

Certo che c'è nessun modo per verificare se questo era vero o se IPVanish è veramente un servizio VPN "no log" oggi.

Ciò che possiamo verificare, tuttavia, è che IPVanish sostenesse di avere una "rigorosa politica di zero-log" nel momento esatto in cui stavano registrando i dati degli utenti e consegnandoli alle autorità statunitensi.

Dopo aver richiesto una risposta da IPVanish, hanno fornito a Restore Privacy questa dichiarazione:

Il caso giudiziario è stato del 2016, molto prima che StackPath acquisisse IPVanish nel 2017. IPVanish non ha, non ha, e non registrerà né memorizzerà i registri dei nostri utenti come società StackPath. Non possiamo parlare di ciò che è accaduto sull'orologio di qualcun altro e quel team di gestione è scomparso da tempo. Oltre a non effettuare la registrazione, StackPath difenderà la privacy dei nostri utenti, indipendentemente da chi richieda diversamente.

Di chi puoi fidarti?

Questo caso illustra ancora una volta il problema fondamentale nella scelta di un servizio VPN: fiducia.

Sfortunatamente ci sono stati alcuni casi diversi in cui è stato scoperto che le VPN stanno violando in modo flagrante i loro reclami "no log" mentre forniscono i dati dei clienti alle autorità. Quindi puoi fidarti di qualsiasi servizio VPN?

Bene, ci sono state anche alcune VPN che hanno avuto le loro attestazioni di registrazione verificate per cause penali. Ecco tre brevi esempi di questi casi:

  1. Nel 2016, l'accesso privato a Internet (con sede negli Stati Uniti) è stato testato in un caso dell'FBI in cui si verificava una falsa bomba. PIA ha dichiarato pubblicamente dinanzi al tribunale di non avere registri che sarebbero stati in grado di fornire per l'indagine.
  2. Nel 2017 Perfect Privacy (con sede in Svizzera) ne aveva due. Grazie alla mancanza di registri e di tutti i server che operano in modalità disco RAM, non sono stati interessati i dati dei clienti. (Il motivo esatto del sequestro del server non è stato reso pubblico dalle autorità olandesi.)
  3. Nel 2017 ExpressVPN (con sede nelle Isole Vergini britanniche) ha sequestrato i server in Turchia. Le autorità non sono state in grado di ottenere alcun dato dell'utente. ExpressVPN ha inoltre rilasciato una dichiarazione pubblica in cui spiega che non sono in grado di fornire dati alle autorità a causa della loro politica di assenza di registri.

Questi casi illustrano anche l'importanza della scelta di a VPN in una buona giurisdizione sulla privacy (al di fuori dei paesi 5 Eyes e 14 Eyes). Dopotutto, le autorità statunitensi hanno la capacità di costringere qualsiasi azienda a registrare i dati degli utenti, colpendoli allo stesso tempo con un ordine bavaglio per vietare qualsiasi tipo di divulgazione.

Come puoi vedere dalla dichiarazione giurata di cui sopra, le autorità statunitensi hanno continuato a esercitare pressioni su IPVanish fino a quando non hanno concordato di consegnare i dati degli utenti. Le autorità statunitensi hanno anche avuto successo nell'ottenere dati dai provider VPN d'oltremare, come nel caso di PureVPN.

Commenti di chiusura

Lo scopo di questo articolo è quello di evidenziare i fatti che circondano questo caso di registrazione IPVanish e di illustrare alcuni dei problemi con affermazioni "senza registri" nel settore VPN.

Nota: questo articolo non sta difendendo o perdonando il sospettato al centro di questo caso di registrazione IPVanish. Come genitore, sono molto grato alle autorità che indagano e perseguono questi tipi di criminali. Ma come appassionato di privacy, sono anche preoccupato che le VPN inducano in errore le persone quando si tratta di pratiche di registrazione e protezione dei dati.

Questo articolo verrà aggiornato non appena saranno disponibili ulteriori informazioni.

Aggiornato il 6 giugno 2018 con la dichiarazione ufficiale di IPVanish.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me